Tartalom. A sandboxing-on túli világ - hatékony malware analízis

A sandboxing-on túli világ - hatékony malware analízis Ács György IT biztonsági konzulens 2016. április 25.

György Ács Security Consultant C|EH, SFCP, SFCE [email protected]

Global Security Sales Organization

©2014 Cisco and/or its affiliates. All rights reserved.

Tartalom ‡ ‡ ‡ ‡ ‡

‡ ‡

Modern támadások Malware analízis technikák Mi a sandbox ? ThreatGrid sandbox Advanced Malware Protection A DNS csatorna Ajánlások

Cisco Public

2

Cisco Éves Biztonsági Jelentés 2015:

Mi az a malware ? Malware = Malicous software Bármilyen kód, ami kárt okoz(hat) Ismeretlen kód, ami érdekes lehet Típusok rootkitek, backdoor-ok botnet-ek, scareware-ek férgek, vírusok,

+RJ\DQYpGHNH]]QNHOOHQNKDQHPpUWMNDPĦN|GpVNHW" Van erre eszközünk?

$PLNUĘO mindenki hallott már « ... a támadó okosak és motiváltak ... a modern malware = egy iparág zero day sérülékenység ára: $$$$$ -> $40,000 - $160,000 browser exploit pack ára : $$$$ -> BlackHole bérlése : $500-700/hónap, -> $450k botnet ára : $$ botonként -> 10.000 zombi: $1000 (US) bankkártya ára : $ kártyánként -> 9$ -35$ ...... ... célzott támadások, Advanced Persistent Threats, Cyber Security... ... Spear Phishing, Water Holing, trójaiak, Buffer Overflow ....

6

Zsaroló programokról ... ‡

Zsarolóvírusok (ransomware-ek) olyan kártékony programok, amelyek egy számítógépre jutva elérhetetlenné tesznek bizonyos fájlokat vagy akár az egész rendszert

‡

$]HOVĘ-EĘO

‡

2 csoport: ‡ Lockerek ‡ Cryptoware-ek

Cryptowall

Zsaroló programokról ... ‡

Gyakran IHMOĘGQHN és mutálódnak

‡

Leggyakrabban emailcsatolmányban, IHUWĘ]|WW weboldalakon terjednek

‡

akár megbízható weboldalakról is (ha az azokat reklámokkal ellátó hirdetéskiszolgáló IHUWĘ]ĘGLN meg)

‡

Itthon a Locky (valamilyen számlának WĦQĘ Word + macro) és a CryptoWall 4 QHYĦ zsarolóvírus fordul HOĘ leggyakrabban

Egy érdekes cikk ...

Cisco Talos és a zsaroló programok

Angler infrastruktúra

~40% of users being served exploits are compromised by Angler. ~62% of Angler infections delivered Ransomware and the average ransom is $300.

http://www.malwaredomainlist.com/mdl.php

The Kill Chain Recon Attack Delivery Exploitation C&C Lateral Movement Persistence Steal Data

https://media.blackhat.com/bh-us-12/Briefings/Flynn/bh-us-12-Flynn-intrusion-along-the-kill-chain-WP.pdf

Az áldozat megtámadása Valamilyen csatornán, email, social media, telefon elérjük hogy az áldozat megnyissa a csatolmányt vagy klikkeljen egy linkre ... Futtatható malware indítása .exe, .msi, .vbs, .ps1, .dmg , .... ... Sérülékeny alkalmazás/plugin kihasználása

Internet

FW

Enterprise

Támadás HOĘWW: Az antivírus rendszeren átmenne? ‡ Online AV scanner: http://virustotal.com : megosztja a mintákat

más AV vendorral ‡ Célzott támadások saját dedikált AV teszt rendszert használnak

Teszteljünk támadás HOĘWW Türelmes vagyok. Nekem csak egyszer kell támadnom.

1

Más rendszerek nem osztják meg a mintákat

av-check, virtest, scan4you

Mit csinál egy malware ? ‡ MHJQp]LDÄN|UQ\H]HWHW´ ‡

‡ ‡ ‡ ‡

(antivírus, anti-spyware, ...) 0HJSUyEiOMDPHJĘUL]QLPDJiW (registry) Kártékony kódot tölt le File-t hoz létre Hook (saját kódot regisztrál) -> keylogger Malware vagy CnC (Command and Control) állomással kommunikál

Mi az a malware analízis? ‡ A malware szétboncolása, viselkedés

elemzése, részek elemzése

‡ Ami Nem: ‡ forensics elemzés ‡ Incident Response (IR)

‡ Macska- egér harc ‡ Ha jól csináljuk, vezeti az incident

response munkálatokat

‡ A malware analízis segítségével jóval magasabb EL]WRQViJLV]LQWpUKHWĘHO ‡ HRVWDODS~ÄQ\RPRN´pVhálózati szignatúrák

0DOZDUHDQDOt]LVOHKHWĘVpJHL ‡ 1. Utána ‡ forensics analízis a gépeden ... ? ‡ Hoppá, a vállalati adatbázis kikerült ! ‡ 2. Más gépén, HOĘWWH ?

‡ Nagyon célzott támadás ? ‡ Az egész gép tükrözése ? ‡ Agent szükséges?

Malware analízis OHKHWĘVpJHL ‡ 1. Statikus ‡ Disassembler, pl. : IDA, OllyDbg ‡ Reverse engineering ‡ Komponensek vizsgálata OpSpVUĘO lépésre ‡ Gépi kód-> assemply konverzió ‡ Memory dumper: LordPE, OllyDump

Malware analízis OHKHWĘVpJHL ‡ 2. Dinamikus analízis ‡ Viselkedés naplózása ‡ Virtuális gép ‡ Sandboxing ‡ Debugger (GDB, WindDGB)

Kód analízis manuálisan = sok munka nem automatizált eszközök ‡ Detect Autoruns: ‡ Autoruns

‡ File system és registry

monitoring:

‡ Process Monitor és Capture BAT

‡ Process monitoring: ‡ Process Explorer és Process Hacker

‡ Network monitoring: ‡ Wireshark és SmartSniff

‡ Change detection: ‡ Regshot

Sandbox

Report : ‡ network activity ‡ persistence (registry writes, service creation) ‡ spreading ‡ anti-debugging ‡ reading password files ‡ keylogging

‡ Virtuális gépben a kód

futása ‡ Appliance (IHOKĘEHQ vagy

lokális ) ‡ Kimenet : a viselkedés

leírása³bizonyítékok´ ‡ ,GĘEH telik az analízis

Report ArtifactsFile, video

‡ Többnyire automata

Nincs tökéletes megoldás Sandboxing

Application Control NAC IDS / IPS UTM

FW/VPN

AV

³1RNH\QRDFFHVV´ ³,WPDWFKHVWKHSDWWHUQ´

³%ORFNRU$OORZ´

³)L[WKH)LUHZDOO´

³&DSWLYH3RUWDO´ ³1RIDOVHSRVLWLYHV QRIDOVHQHJDWLYHV´

PKI

³'HWHFWWKH 8QNQRZQ´

Malware sandbox detektálás ‡ Miért érdekes ez? ‡ Ha a malware detektálja a sandbox környezetet,

nem csinál ³rosszat´ ‡ Nem PĦN|GLN a dinamikus analízis a

továbbiakban ‡ Csak a statikus analízis marad

‡ Jó sandbox: úgy csinál, mint egy ³buta´

felhasználó«

3

Malware sandbox detektálás (piros-kék pirula) ‡ VM karekterisztikák HOOHQĘU]pVH ‡ registry keys, MAC address, processes, services ‡ Kód végrehajtás NO|QE|]Ę LGĘ]tWpVVHO /eredménnyel

‡ Várj 10 reboot-ot«egér kattintást

... ‡ Malware csak alszik X órát ‡ sandbox nem tudja végtelen ideig vizsgálni ‡ Ellenintézkedés : órafelgyorsítás a sandboxban ‡ Ellen-ellenintézkedés : ...

3

Sandbox detekció ³7XULQJWHVW´vagy felhasználó input - tevékenység ‡ Mozog az egér? A bLOOHQW\Ħ]HWHW használják? ‡ Megkérjük a felhasználót, hogy klikkeljen « ‡ CAPTCHA

3

Kérlek, kattints ide -> o

Sandboxing

‡ Antivírus a Malware ellen, csak fordítva« ‡ Sandboxing egy jó tool, de nem nyújt védelmet minden egyes támadással szemben, nem átverhetetlen ‡ Fejlett támadások ellen W|EEUpWHJĦ védelmi rendszer kell 3

Cisco AMP Threat Grid ± miben más? Teljesítmény

Szolgáltatások

Kontext

Integráció

‡ Gyors, automatizált analízis, állítható IXWiVLGĘ ‡ Láthatatlan a minta számára, sok viselkedés elemzés ‡ Videó lejetszás, Glovebox : malware interakció ‡ Process Graph for visual representation of process lineage ‡ Threat Score & Behavioral Indicators ‡ Keresés és korreláció minden adatrészletre (artifacts) a több milliárd mintabázison (globális kontext) ‡ Az HOHP]Ę részletes leírást kap, jobban megérti a malware PĦN|GpVpW ‡ API az HOVĘ naptól, integráció a jelenlegi IT biztonsági megoldásokkal ( minta feladás, riport ), Cisco AMP ‡ Custom threat intelligence feed-ek támogatása

ThreatGrid platformok )HOKĘ: adatközpont US (EU jön)

‡ Több millió analízis per nap ‡ 6 - 8 millió analízis hónaponta (és egyre QĘ « ‡ ThreatGRID software és dedikált hardware ‡ Más IHOKĘ szolgáltatóra nincs szükség ‡ Több állomásos architektúra On-premise Appliance: - helyi elemzés ‡ max 5,000 minta naponta (ThreatGRID 5500 Series) ‡ Kiemelt biztonságú szervezetek számára ‡ Azonos funkciókészlet / GUI, mint a ThreatGRID SaaS ‡ Az appliance frissítést kap => a teljes kontext látja az HOHP]Ę

Saját HOHP]Ę rendszer - Proprietary Analysis ‡ .OVĘ elemzés ‡ Nincs jelen a VM-ben, mint más sandbox-ok, pl.: Cuckoo ‡ Dinamikus analízis :

± External kernel monitor, zero-instrumentation ± Dynamic disk DQDO\VLVVKRZLQJPRGL¿FDWLRQVWRWKHSK\VLFDO disk such as changes to the Master Boot Record ± Full user interaction and emulation through 7KUHDW*5,'¶V Glovebox ± Full video capture, playback of all screen activity ± Detailed analysis of malware sample activities including network traƥ ƥc ‡ Statikus analízis :

± 3')57)&')-DYD6FULSW+70/DQG3(¿OHV

Threat Score ‡ 440+ viselkedés MHO]Ę : Behavioral indicators (and growing) ‡ Malware családok, káros viselkedések ‡ Részletes leírás, bizonyítékokkal ‡ Megbízhatóság alapú prioritás -> segít a SOC elemzésben és IR tudásban

‡ If you knew you were going to be compromised, would you

GRVHFXULW\GLIIHUHQWO\"´ ‡ Marty Roesch ‡ Chief Architect ± Cisco Security Group

AMP: Advanced Malware Protection Detection Services & Big Data analytics

Network-based AMP

‫ݴ‬

AMP for hosts desktop and mobile devices

‫ݲ‬

FireSIGHT Management Center

Private Cloud / SaaS Manager

#

#

Sourcefire Sensor

Host-based AMP AMP Malware license

‡ ‡ ‡ ‡

Nincs szükség agent-re

Kis PpUHWĦ agent File hozzáféréseket figyeli (move/copy/execute) -HOOHP]ĘNHW J\ĦMW (fingerprint & attributes) Lekérdezi a file státuszát (tiszta, malware, ismeretlen)

Cisco biztonsági model Attack Continuum

BEFORE

DURING

Control Enforce Harden

AFTER

Detect Block Defend

Scope Contain Remediate

Firewall

VPN

NGIPS

Advanced Malware Protection

NGFW

UTM

Web Security

Network Behavior Analysis

Email Security

Retrospective Services

NAC + Identity Services

Visibility and Context

AMP : Point-in-Time + Retrospective Protection Point-in-Time Protection

Retrospective Security Breadth and Control points:

WWW

Email

Network

Endpoints

IPS

Web

Devices Telemetry Stream

One-to-One Fuzzy Signature Finger-printing

Machine Learning

Advanced Analytics

Dynamic Analysis

File Fingerprint and Metadata

Continuous feed

1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0110011 101000 0110 00 0111000 111010011 101 1100001 110 0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0001110 I/O 1001 1101 1110011 File and Network

Process Information

File Reputation & Sandboxing

Continuous Analysis

Protection Framework: Ethos Engine ‡ ETHOS = Fuzzy Fingerprinting

statikus és passzív heurisztikát használva ‡ A malware-ek polimorf variánsaira ‡ Gyakran ugyanazok a struktúrális MHOOHP]ĘN ‡ Az eredeti és variánsok elfogása -> pontosabb döntés ‡ Döntési fát épít

4

Protection Framework: Spero Engine ‡ SPERO = Machine Learning using active heuristics

Hypothesis

Clean/ Dirty sampl es

Data Feature Vectors

Machine Learning Algorithm

Featureprint (file)

Predictive Model Decision Trees

Data

Labels

Performance Monitoring

Customer Data

Expected Label [Disposition]

Clean Unknown Malware

Protection Framework: IOCs ‡ IOC = Indicators of Compromise ‡ Speciális MHOOHP]Ę, nyom (artifacts) ami a támadás után ottmaradt

Wikipedia:

‡ XML alapú leíró nyelv, hogyan tudjuk azonosítani a malware-t

³LQcomputer forensics is an artifact observed on a network or in operating system that with high confidence indicates a computer intrusion.´

‡ Host vagy/és hálózat alapú nyom, host alapon kezdeményezett letapodatás ‡ OpenIOC 1.1 eredet

4

http://en.wikipedia.org/wiki/Indicator_of_compromise

Plan A: The Protection Framework 1-to-1 Signatures

Device Flow Correlation

Spero

Ethos

Dynamic Analysis

Advanced Analytics

IOCs

All Methods < 100% Detection

Plan B: Retrospection Typical Analysis file

x

Analysis Stops After Initial Disposition

time

$FWXDOO\« Disposition = BAD «WRRODWH

1-to-1, Fuzzy, Machine Learning, Sandboxing, etc; Disposition = CLEAN

‡ Sleep techniques ‡ Unknown protocols ‡ Encryption ‡ Performance

Continuous Analysis

file

x

Analysis Continues

Initial Disposition = CLEAN

time

‡ :KHQ\RXFDQ¶W detect 100%, visibility is critical

Retrospective Alert sent later when Disposition = BAD

Retrospection Framework: Trajectory Downloads an unknown .zip

Two files are access when the .zip is opened, it creates a DLL, and a PDF.

3 files are downloaded. A/V triggers on two files, but #3 moves itself on disk and begins to connect to random IP addresses.

Our last unknown file opens a window VD\LQJ³'RZQORDG &RPSOHWHG´

Acrobat launches svchost.exe???

Firefox user connects to http://www.downloaders.com

5

PDF Reader application is opened to read the PDF.

svchost.exe connects to http://192.168.1.12 File #3, connects to 4 IP addresses, and creates another unknown file.

The last unknown file launches calc.exe, hollows the process and begins listening for remote connections.

Nyomkövetés alkalmazás és hálózati szinten: trajectory

Nyomkövetés alkalmazás és hálózati szinten: trajectory

Why OpenDNS? '166HUYLFHV%XLOWIRU:RUOG·V/DUJHVW6HFXULW\3ODWIRUP GLOBAL NETWORK ‡ 80B+ DNS requests/day ‡ 65M+ biz & home users ‡ 100% uptime ‡ Any port, protocol, app

UNIQUE ANALYTICS

+

‡ ‡ ‡ ‡

security research team automated classification BGP peer relationships 3D visualization engine

= 80M+ malicious requests blocked/day

A New Layer of Breach Protection Threat Prevention Not just threat detection

Protects On & Off Network Not limited to devices forwarding traffic through on-prem appliances

Always Up to Date No need for device to VPN back to an on-prem server for updates

Block by Domains, IPs & URLs for All Ports Not just ports 80/443 or only IPs

UMBRELLA Enforcement

Turn-Key & Custom API-Based Integrations Does not require professional services to setup

Mit tudunk mi tenni ? .|]|VVpJLHJ\WWPĦN|GpV ‡ Snort : ingyenes, IDS/IPS rendszer

‡ ClamAV: ingyenes vírusírtó

‡ IPPXQHWLQJ\HQHVÄDGYDQFHGPDOZDUHSURWHFWLRQ´UHQGV]HU

‡ OpenAppID : alkalmazás definiciók és azok megosztása

‡ OpenDNS : ingyenes, szabad DNS szolgáltatás

Összefoglalás ‡ Modern malware tökéletesen át tud menni a ma alkalmazott ³SRLQW-

in-WLPH´detekciós eljárásokon ‡ Detekció fontos, de szükség van másra is.

‡ A sandboxing egy hatásos detekciós módszer, de nem mindenható ‡ Retrospektív elemzés megmutatja, mit nem kaptunk el ‡ AMP Everywhere ± mindenhol : teljes rálátást és kontrolt ad